Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Методы и средства защиты информацииСодержание книги
Поиск на нашем сайте
Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную систему, имеющую сертификат безопасности. Программно-техническая подсистема защиты автоматизированных информационных систем, какой бы совершенной она ни была, в полном объеме не решает задач комплексной защиты объектов информационной безопасности. Используемые данной подсистемой физические, аппаратные, программные, криптографические и иные логические и технические средства и методы защиты выполняются без участия человека по заранее предусмотренной процедуре. Для обеспечения комплексного подхода к проблеме программно-техническое обеспечение защиты объектов информационной безопасности должно быть дополнено соответствующим правовым обеспечением. С развитием процессов информатизации общества на основе современных информационных технологий и телекоммуникаций эти процессы становятся базой для обособления информационных общественных отношений. В современных условиях этот новый вид общественных отношений требует адекватного правового регулирования, затрагивая едва ли не все отрасли права, и в первую очередь гражданское, административное, уголовное, гражданско-процессуальное и уголовно-процессуальное право. Основным законом является Конституция Республики Беларусь от 15 марта 1994 г., в которой регламентируются права и свободы граждан. В Гражданском кодексе Республики Беларусь от 7 декабря 1998 г. гарантируется право гражданина на доступ к информации. Основным правовым актом в Республике Беларусь, регулирующим информационные общественные отношения, является Закон Республики Беларусь 10 ноября 2008 г. N 455-З «Об информации, информатизации и защите информации». Сферой действия данного закона являются отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации. Обязательным условием для включения информации в информационные ресурсы является ее документирование. Порядок документирования регламентируется соответствующими нормативными актами, например, ГОСТ 6.10.4-84 “Унифицированные системы документации”. Юридическую силу имеют документы на машинном носителе и машинограмме, создаваемые средствами вычислительной техники (ГОСТ 6.38-90 “Система организационно-распорядительной документации. Требования к оформлению документов”). Согласно этому Закону «Об информации, информатизации и защите информации», объектами права собственности в сфере информатизации выступают: документированная информация; информационные ресурсы; информационные технологии; комплексы программно-технических средств; информационные системы и сети. Их собственниками могут быть государство, юридические и физические лица, Право собственности на информационные технологии, комплексы программно-технических средств, информационные системы и сети защищается законодательством Республики Беларусь, если они зарегистрированы в государственном органе, уполномоченном Президентом Республики Беларусь. Обязательной регистрации подлежат объекты информатизации, имеющие государственное значение. Информационные технологии, комплексы программно-технических средств информационные системы и сети подлежат сертификации в порядке, установленном законодательством Республики Беларусь. Технические и программные средства по защите информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь органом сертификации. Органы государственной власти, юридические и физические лица имеют равные права на доступ к информационным ресурсам. Исключение составляют случаи, когда запрашиваемые сведения касаются документированной информации ограниченного доступа. Отнесение информации к документированной ограниченного доступа, порядок ее накопления, обработки, охраны и доступа к ней определяются уполномоченными государственными органами при сохранении условий, установленных законодательством Республики Беларусь. Порядок доступа к открытой документированной информации определяется ее собственником или уполномоченным им лицом на основании договора или в порядке исполнения служебных обязанностей. Юридические лица, занимающиеся созданием средств по защите информационных ресурсов, осуществляют свою деятельность в этой сфере на основании разрешения органа, уполномоченного Президентом Республики Беларусь. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются соответствующими таможенными органами на основе международной системы сертификации. Республика Беларусь имеет договоры с различными странами в сфере защиты информации. Например, Конвенция, учреждающая Всемирную организацию интеллектуальной собственности, Программа сотрудничества между Правительством Республики Беларусь и Всемирной организацией интеллектуальной собственности (2001 г.), Постановление Межпарламентской Ассамблеи государств-участников СНГ от 17 февраля 1996 г. № 7-10 «О рекомендательном законодательном акте «О защите высоких технологий», Соглашение о сотрудничестве по пресечению правонарушений в области интеллектуальной собственности от 6 марта 1998 г. (ратифицировано Законом Республики Беларусь от 6 ноября 1998 г. № 202-З), Решение Совета глав правительств СНГ от 20 июня 2000 г. «О Совместной рабочей комиссии государств - участников Соглашения о сотрудничестве по пресечению правонарушений в области интеллектуальной собственности», Соглашение между Правительством Республики Беларусь и Правительством Китайской Народной Республики об охране прав интеллектуальной собственности (2001 г.). Комитетом по законодательству Совета Европы разработаны рекомендации (Рекомендации №К/89/9), в которых предлагается следующий минимальный перечень компьютерных преступлений: компьютерное мошенничество; компьютерный подлог (подлог); повреждение компьютерной информации или программ; компьютерная диверсия (саботаж); несанкционированный перехват информации; несанкционированное производство патентованных компьютерных программ (пиратство программного обеспечения); несанкционированное воспроизводство топографии (чертежей). Закон республики Беларусь "Об информации, информатизации и защите информации" регламентирует порядок правовой защиты информации и прав субъектов в области информационных процессов и информатизации. Так, в соответствии со статьей 27 настоящего Закона, целями защиты информации являются: · обеспечение национальной безопасности, суверенитета Республики Беларусь; · сохранение информации о частной жизни физических лиц и неразглашение персональных данных, содержащихся в информационных системах; · обеспечение прав субъектов информационных отношений при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологий, а также формировании и использовании информационных ресурсов; · недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий. Собственник информационной системы или уполномоченные им лица обязаны обеспечить уровень защиты документированной информации в соответствии с требованиями Закона "Об информации, информатизации и защите информации" и иных актов законодательства. Информационные ресурсы, имеющие государственное значение, должны обрабатываться только в системах, обеспеченных защитой, необходимый уровень которой подтвержден сертификатом соответствия. Защита другой документированной информации устанавливается в порядке, предусмотренном ее собственником или собственником информационной системы. Собственник или владелец информационной системы обязаны сообщать собственнику информационных ресурсов обо всех фактах нарушения защиты информации. Предупреждение действий, влекущих за собой нарушение прав и интересов субъектов правоотношений в сфере информатизации, установленных выше Законом и иным законодательством Республики Беларусь, осуществляется органами государственной власти и управления, юридическими и физическими лицами, принимающими участие в информационном процессе. За правонарушения в сфере информатизации юридические и физические лица несут ответственность в соответствии с законодательством Республики Беларусь. Защита прав и интересов, юридических и физических лиц, государства в сфере информатизации осуществляется судом, хозяйственным судом с учетом специфики правонарушений и причиненного ущерба. Законодательство, предусматривающее уголовное преследование лиц, совершивших противоправные деяния с использованием компьютерных систем или воздействием на них, в странах Западной Европы (в Англии, Голландии, Дании, Португалии, Франции, Германии), США, Канаде, Японии действует начала 80-х гг. Рабочей группой Программного комитета СНГ подготовлен модельный Уголовный кодекс для государств – участников СНГ, содержащих специальную главу "Преступления против информационной безопасности". В последние годы Правительством Республики Беларусь предприняты конкретные шаги по формированию государственной политики информатизации, которые актуализируют проблемы разработки ее правовой основы включая вопросы ответственности за правонарушения в компьютеризованной инфосфере. Компьютерные сети самим своим существованием создают дополнительные трудности для обеспечения информационной безопасности организаций -- владельцев этих сетей. Эти проблемы многократно возрастают, если корпоративная сеть имеет связь с глобальной сетью Интернет. Согласно одному из опросов, проведенных в США, свыше 30-ти респондентов заявили, что понесли финансовые потери в результате вторжений в информационную систему. Общая сумма потерь 32 респондентов составила 66 млн. дол. Распределение убытков по способам нанесения таково: 1 млн. дол. приходится на подслушивание переговоров, 300 000 -- на разного рода фальсификации, 1 млн. -- на прямые врезки в кабельную систему, 10 млн. -- на злоупотребления конфиденциальной информацией и 50 млн. дол. -- на проникновение в систему извне. По данным компании Klarence M. Kelly Investigations, средний убыток от мошенничества сотрудников составляет 23 500 дол., если же мошенничество совершается с применением компьютера, сумма убытка возрастает до 500 000 дол. В начале 1996 г. Computer Security Institute (CSI, Сан-Франциско) совместно с Отделом международных компьютерных преступлений ФБР тщательно обследовали 428 организаций: коммерческих компаний из списка Fortune 500, финансовых и медицинских учреждений, правительственных организаций и крупных университетов. Результаты этого исследования показали полную неготовность этих организаций к защите от компьютерных преступлений и нет уверенности в том, что угроза таких преступлений не может быть вполне реальной. Более чем в 50% организаций-респондентов отсутствуют письменные инструкции о действиях в случае вторжения в сеть. Более 60% организаций не имеют инструкций о сохранении вещественных доказательств вторжения для последующего представления на гражданском или уголовном судебном разбирательстве. Мало того, более 20% организаций вообще не знают, подвергались они вторжению или нет. В 1983 году Организация экономического сотрудничества и развития определила под термином "компьютерная преступность" (или "связанная с компьютерами преступность") любые незаконные, неэтичные или неправомерные действия, связанные с автоматической обработкой данных и/или их передачей. Данный термин, возникший первоначально как средство для обозначения появившихся новых способов совершения преступлений, по своему содержанию давно уже перерос в криминологическое понятие, обозначающее самостоятельный вид преступности. В настоящее время этот вид преступности включает в себя в зависимости от уголовно-правового регулирования в тех или иных стран уже целый перечень такого рода деяний и способов их совершения. На международном уровне факт угрозы компьютерной преступности впервые был признан в 1985 году на VI1 Конгрессе ООН по профилактике преступлений и обращению с правонарушителями. Следующий VII Конгресс ООН по профилактике преступлений и обращению с правонарушителями (Гавана, 1990 г.) рекомендовал международной общественности выработать универсально применимые стандарты и нормы, гарантирующие надежное использование компьютерных систем и средств телесвязи. В специальной резолюции "Преступления, связанные с применением компьютеров" была намечена целая программа мер как на национальном, так и на международном уровнях в этом направлении. Международная организации уголовной полиции рассматривает компьютерную преступность в одном ряду с такими новыми категориями преступлений, как захват заложников, угон самолетов, "экологический бизнес'', международные синдикаты наемных убийц. Поэтому не случайно в 1991 году по решению 19-й Европейской Региональной Конференции Интерпола при Генеральном Секретариате была создана Рабочая группа по компьютерным преступлениям, объединившая в своих рядах специалистов из 16 Европейских государств. К сожалению, в данном органе не были представлены эксперты от СНГ и государств Восточной Европы. По мере развития компьютерной техники и освоения ею различных жизненно важных сфер человеческой деятельности происходило изменение компьютерной преступности. Можно выделить три этапа ее развития. Первый этап характеризуется появлением преступлений, совершенных с помощью компьютерной техники. Они имели в основном корыстную направленность и использовались в традиционных видах преступлений. Квалифицировали их в соответствии с имеющимся уголовным законодательством. Подобного рода деяний имели место внутри организаций и предприятий, использующих вычислительную технику. При этом совершали преступления, как правило, служащие, имевшие доступ к ЭВМ. На втором этапе компьютеры начали использовать не только для совершения преступлений “белых воротничков”, но и в целях вымогательства, шпионажа и саботажа. Появление “чистых” компьютерных преступлений не подпадало под действие уголовного законодательства. Вместе с тем, общественная опасность этих деяний требовала доработки имеющихся составов преступлений или введения новых. В связи с этим в разных странах были разработаны предложения по криминализации следующих деяний: · ввод фальсифицированных данных или записей в компьютер в мошеннических целях; · несанкционированного использования компьютерного оборудования, изменения или уничтожения информации или файлов; · кражи денег, финансовых документов, имущества, услуг или ценных данных с помощью электронных устройств и т.п. Рост технических средств связи, с одной стороны, позволил соединить отдельные терминалы и локальные сети в единую систему, а с другой – позволил злоумышленникам использовать компьютер для проникновения в сеть по каналам связи. Появилась возможность совершения компьютерного преступления на расстоянии. Для этого достаточно было знать координаты системы и коды преодоления защитных средств. Третий этап соответствует современному состоянию компьютерной преступности. Среди компьютерных преступлений выделяют следующие основные формы: · махинации путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды; · компьютерные шпионаж и кража программного обеспечения; · компьютерные диверсии; · кража услуг (времени), неправомерное использование системы обработки данных; · неправомерный доступ к системам обработки данных и “взламывание” их; · традиционные преступления в сфере бизнеса (экономики), совершаемые с помощью обработки данных. Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ. Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования. Организационно-экономические методы защиты информации предусматривают формирование и обеспечение функционирования следующих механизмов защиты: · стандартизации методов и средств защиты информации; · сертификации компьютерных систем и сетей по требованиям информационной безопасности; · лицензирование деятельности в сфере защиты информации; · страхование информационных рисков, связанных с функционированием компьютерных систем и сетей; · контроль за действием персонала в защищенных информационных системах. Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты. Организационно-административные методы защиты информациирегламентируют процессы создания и эксплуатации автоматизированных информационных систем, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. Организационные методы зашиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся: · выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации; · выделение специальных ЭВМ для обработки конфиденциальной информации; · организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях; · использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях; · организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации; · организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации; · установление запрета на использование открытых каналов связи для передачи конфиденциальной информации; · разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации; · постоянный контроль за соблюдением установленных требований по защите информации. Организационно-техническая защита информации обеспечивается осуществлением следующих мероприятий: · ограничение доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков; · отключение ЭВМ от локальной вычислительной сети или сети удаленною доступа при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи; · использование для отображения конфиденциальной информации жидкокристаллических или плазменных дисплеев, а для печати - струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон) - кондиционер, вентилятор или обрабатывать другую информацию на рядом стоящей ЭВМ; · установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу; · размещение оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры; · организация электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений или от общей электросети через стабилизатор напряжения); · использование источников бесперебойного питания (БИП) персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой. Программно-техническая подсистема комплексной защиты объектов информационной безопасности включает: физические, аппаратные, программные, аппаратно-программные, криптографические методы и средства защиты информации. Физические средства защиты п редназначены для внешней охраны территории объектов, защиты ЭВМ, систем и объектов на базе вычислительной техники. В настоящее время используются преимущественно чисто механические средства физической защиты при доминирующем участии человека. Однако, достижения микроэлектроники и появление микропроцессоров создали объективную базу для разработки и внедрения универсальных автоматизированных электронных систем физической защиты, предназначенных для охраны территории, охраны помещений, организации пропускного режима, организации наблюдения, систем пожарной сигнализации, систем предотвращения хищения носителей Элементную базу таких систем составляют различные датчики, сигналы которых обрабатываются микропроцессорами, электронные интеллектуальные ключи и замки на микропроцессорах, устройства определения биометрических характеристик человека и т.д. Современные физические средства защиты предоставляют широкие возможности для решения многих задач обеспечения информационной безопасности. Так, для организации охраны оборудования (узлов и блоков компьютеров, средств передачи данных) и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) можно использовать: · различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы, микровыключатели, фиксирующие открывание или закрывание дверей и окон; · инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку ТВ-антенн; · специальные наклейки из фольги или другого магнитопроводящего материала, которые наклеиваются на все документы, приборы, узлы и блоки системы для предотвращения их выноса из помещения. При этом около выхода из охраняемого помещения размещается специальная установка, принцип действия которой аналогичен действию детектора металлических объектов. Эта установка подает сигнал тревоги при любой попытке вынести за пределы помещения предмет с наклейкой; · специальные сейфы и металлические шкафы для установки в них отдельных узлов и блоков компьютера для вычислительной системы (принтер, файл-сервер т.п.) и перемещаемых носителей информации (магнитные ленты, диски, распечатки). Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия: · экранизация рабочих помещений, где установлены системы электронной обработки и передачи данных, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов; · для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем; · все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой; · на вентиляционных каналах монтируют так называемые предельные магнитные ловушки, препятствующие распространению радиоволн. Для защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации, а также на коммуникационные электрические цепи, широко используют: · экранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа; · экранированные эластичные соединители (разъемы), всевозможные сетевые фильтры подавления электромагнитных излучений; · провода, наконечники, дросселя, конденсаторы и другие помехоподавляющие радио- и электроизделия; · на водопроводных, отопительные газовых и других металлических трубах помещают разделительные диэлектрические вставки, которые осуществляют разрыв электромагнитной цепи. Для контроля электропитания могут использоваться электронные отслеживатели - устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует ТВ-камеру для последующей записи событий. Аппаратные средства защиты представляют собой различные электронные, электронно-механические и другие устройства, непосредственно встроенные в серийные блоки электронных систем обработки и передачи данных или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначаются для внутренней защиты структурных элементов ЭВМ, средств и систем вычислительной техники: терминалов, устройств ввода-вывода, процессоров, периферийного оборудования, линий связи и т.д. Основные функции аппаратных средств защиты информации: · запрещение несанкционированного доступа к вычислительной системе; · запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных вычислительной системы, возможного в результате случайных или умышленных действий обслуживающего персонала; · защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением вычислительной системы из сети ЭВМ; · защита целостности программного обеспечения посредством: · идентификации субъектов (пользователей, обслуживающего персонала) и объектов (ресурсов) системы; · аутентификации субъекта по предъявленному им идентификатору; · проверки полномочий, заключающейся в проверке соответствия дня недели, времени суток; · регистрации (протоколирования) при обращении к запрещаемым ресурсам; · реагирования (задержки выполнения работ, отказа в обслуживании, тревожной сигнализации) при попытках несанкционированного доступа к защищаемым ресурсам Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения систем обработки данных, либо в состав средств, комплексов и систем аппаратуры контроля. Они являются наиболее распространенным видом защиты, так как универсальны, гибки, просты в реализации, возможности изменения и развития. Это обстоятельство делает их одновременно и самыми распространенными, и самыми уязвимыми элементами защиты информационных систем. С помощью программных средств защиты решаются следующие задачи информационной безопасности: · контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.); · разграничение и контроль доступа субъектов к системным и пользовательским ресурсам; · изоляция программ процесса, выполняемого в интересах конкретного субъекта от других субъектов; · управление потоками конфиденциальной информации с целью предотвращения записи на магнитные носители данных несоответствующего уровня (грифа) секретности; · защита файлов от вирусных инфекций; · автоматическое полное или выборочное стирание остаточной конфиденциальной информации на магнитных дисках; · автоматический контроль за работой пользователей на ЭВМ на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале. В настоящее время создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства программной защиты информации. Аутентификация - проверка идентификатора пользователя, обычно осуществляемая перед разрешением доступа к ресурсам автоматизированной информационной системы. Существуют следующие методы аутентификации: · По знаниям (Парольная защита) - обычно используется механизм паролей в той или иной реализации. Для того, чтобы подтвердить свои права на доступ, достаточно сообщить системе секретный ответ на ее запрос. Преимущества данного метода - простота реализации и дешевизна, недостаток - невысокая надежность. Если злоумышленник каким-либо образом узнал пароль, то система не сможет отличить его от легального пользователя. · по имуществу (Touch-memory, Smart-карты) - для подтверждения своих прав необходимо предъявить системе некий "ключ" - предмет, уникальный для каждого пользователя и защищенный от подделки Вариантов реализации такого метода аутентификации достаточно много В качестве примеров могут служить магнитные и smart-карты К преимуществам данного метода можно отнести относительно невысокую стоимость реализации, к недостаткам - требование наличия дополнительного оборудования и трудности в управлении масштабными системами защиты на основе этого метода. · по навыкам (Клавиатурный почерк, Роспись) - системе защиты необходимо продемонстрировать какие-то умения, недоступные для других пользователей и плохо поддающиеся подделке. К преимуществам реализации такого метода доказательства прав на доступ можно отнести' возможность сокрытия процесса аутентификации от пользователя, например, он может и не подозревать о том, что в данный момент система проверяет его манеру печатания на клавиатуре, а также - высокую надежность аутентификации. К недостаткам этого метода относятся: сложность реализации и дороговизна, а также необходимость в дополнительном оборудовании и больших вычислительных ресурсах. · по уникальным параметрам (Отпечатки пальцев, сетчатка глаза, голос) - самый надежный метод аутентификации. В нем используется сравнение каких-либо параметров человеческого тела с их цифровыми образами, записанными в память системы разграничения доступа. Преимущество этого метода состоит в высокой надежности аутентификации пользователя, недостатки - в высокой цене и необходимости наличия дополнительного оборудования. Для аутентификации пользователей по уникальным параметрам используется целый спектр биометрических параметров, в том числе: · отпечатки пальцев (осуществляется сканирование кожного рисунка пальцев пользователей; в случае доступа к системе производится сравнение свежих отпечатков с хранящимися в памяти); · характеристики ладони (осуществляется сканирование индивидуальных характеристик ладоней, которые используются в качестве основных признаков в идентификационных целях); · анализ геометрии ладони руки (используются такие параметры, как длина пяти пальцев каждой руки и др.); · анализ речевых фонем (речевой сигнал переводится в цифровую форму, а затем производится сравнительный анализ речевых фонем с образцами, хранящимися в памяти); · сканирование остаточного изображения сетчатки глаза (это один из наиболее удачных методов для получения доступа к компьютерным системам, сканирующий прибор заключен внутри бинокулярной камеры; идентификация осуществляется посредством сравнения с запасенными данными в компьютерном файле); · анализ почерка (используются такие характеристики почерка, как давление пера на бумагу, наклон букв, ускорение пера и время написания фамилии и имени владельца). Криптографические методы защиты представляют собой методы защиты данных с помощью криптографического преобразования, под которым понимается преобразование данных шифрованием или выработкой имитовставки. Основные криптографические методы защиты информации: · шифрование с помощью датчика псевдослучайных чисел заключается в генерации гаммы шифра с помощью датчика псевдослучайных чисел и наложении полученной гаммы на открытые данные обратимым образом; · шифрование с помощью криптографических стандартов шифрования данных (с симметричной схемой шифрования), использующих проверенные и апробированные алгоритмы шифрования данных с хорошей криптостойкостью, например, американский стандарт шифрования данных DES, отечественный стандарт - ГОСТ 28147-89; · шифрование с помощью систем с открытым ключом (с асимметричной схемой шифрования), в которых для шифрования данных используется один ключ, а для расшифрования другой. Первый ключ не является секретным и может быть опубликован для использования всеми пользователями системы. Второй ключ является секретным и используется получателем зашифрованной информации для ее расшифрования. Примером может служить метод RSA криптографической защиты информации с известным ключом. Наиболее уязвимый уровень с точки зрения защиты - сетевой. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты. На данном уровне может быть реализована и выборочная маршрутизация. Эксперты предупреждают, что методы, с помощью которых мошенники пытаются завладеть конфиденциальной информацией о пользователях интернета, скоро станут гораздо изощреннее, так что стоит быть повнимательнее и не оставлять личные данные на сайтах, пишет ББС. Чтобы не поддаться на происки мошенников рекомендуется ограничить количество личной информации, которую пользователи сообщают о себе в интернете. Мошенники сначала собирают персональные сведения о потенциальных жертвах, а затем, ориентируясь на эту информацию, рассылают им от имени компаний или знакомых весьма достоверно выглядящие письма со ссылками на поддельные сайты. Не сумев различить фальшивку, многие пользователи стали жертвами мошенников, без всяких задних мыслей предоставив им такую информацию, как имен
|
||||
Последнее изменение этой страницы: 2021-03-09; просмотров: 118; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.144.8.68 (0.019 с.) |